4 – Una legislazione unificata: il GDPR

IV.4 – Una legislazione unificata: il GDPR

Il 25 maggio 2018 è entrato in vigore in tutti i paesi dell’Unione europea il Regolamento generale sulla protezione dei dati, il quale si propone di disciplinare, a livello comunitario, la protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché la libera circolazione degli stessi323. Le nuove disposizioni in materia, pongono i cittadini al centro del sistema, riconoscendo nuovi diritti e offrendo loro un maggior grado di controllo sull’utilizzo e la circolazione dei propri dati, sia all’interno dell’Unione che all’esterno. Il GDPR (General Data Protection Regulation), abroga la Direttiva 95/46/CE, che per oltre vent’anni ha rappresentato la guida di riferimento per le legislazioni nazionali dei singoli Stati europei. Ideata in un contesto socio-politico, economico e tecnologico molto distante da quello attuale, la Direttiva madre, risulta oggi inadeguata per una società dove il ruolo giocato dal controllo dei dati diviene strategico, e dunque decisivo per la nuova economia globale, la politica e per fronteggiare le sfide poste da un’incessante innovazione tecnologica. Per questa ragione si è avvertita l’esigenza di elaborare un regolamento che tenga conto di tali fattori e non si basi più esclusivamente su un approccio indirizzato all’osservanza di una serie di adempimenti formali da compiere quando vengono raccolti i dati, come accadeva con la direttiva che l’ha preceduto. Nella nuova riforma, essi non vengono meno, ma sono inseriti all’interno di un processo con cui si dovranno adottare delle cautele non più formali ma sostanziali

323 Regolamento (UE) n. 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE. Per una lettura integrale del testo rimandiamo al link https://eur-lex.europa.eu/legal-content/IT/TXT/PDF/?uri=CELEX:32016R0679&from=IT

indicate dal regolamento. La gestione dei dati personali non sarà più solo un adempimento formale, ma diventa un processo che incide sull’organizzazione aziendale. Viene imposta l’adozione di misure tecniche e organizzative nei processi aziendali per garantire fin dalla progettazione una tutela dei dati da trattamenti illeciti. Le norme previste mirano a tutelare tutti i cittadini dell’UE dalle possibili violazioni della privacy in una realtà sociale sempre più incentrata sui dati, delineando allo stesso tempo un quadro più chiaro per le imprese che operano, sia online che offline, coi dati dei cittadini europei. I lavori che hanno condotto alla sua realizzazione tuttavia, non sono stati brevi; il pacchetto d’intervento è stato presentato il 25 gennaio 2012 e il testo definitivo del Regolamento concluso alla fine del 2015, è stato approvato il 27 aprile 2016324. Prima di entrare nel merito del GDPR ed esaminare le parti che riteniamo più interessati ai fini della nostra trattazione, ci sembra utile chiarire il significato di alcuni termini riportandone la definizione.

Con “dato personale” s’intende:

«qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale»325.

Con “trattamento”:

«qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione,

324 Questo pacchetto d’intervento, oltre al Regolamento, prevede la Direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché́ alla libera circolazione di tali dati e che abroga la decisione quadro 2008/977/GAI del Consiglio. La direttiva assicurerà che i dati personali di vittime, testimoni e indagati siano debitamente protetti e agevolerà la cooperazione transfrontaliera nella lotta contro la criminalità e il terrorismo. Per una lettura integrale del testo rimandiamo al link https://eur-lex.europa.eu/legalcontent/IT/TXT/PDF/?uri=CELEX:32016L0680&from=IT.

325 Cfr. Capo I, art. 4, Definizioni, 1). Onde evitare ridondanze, sorvoliamo sulle diverse tipologie di dati personali in quanto già analizzati al Capitolo I (pp. 18-19).

diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione»326.

Con “profilazione”:

«qualsiasi forma di trattamento automatizzato di dati personali consistente nell’utilizzo di tali dati personali per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l’affidabilità, il comportamento, l’ubicazione o gli spostamenti di detta persona fisica»327. 


Con “pseudonimizzazione”:

«il trattamento dei dati personali in modo tale che i dati personali non possano più essere attribuiti a un interessato specifico senza l’utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che tali dati personali non siano attribuiti a una persona fisica identificata o identificabile»328. 


Con “titolare del trattamento”:

«la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali […]»329.

Con “responsabile del trattamento”:

«la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento»330.

Con “consenso dell’interessato”:

«Qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione

326 Cfr. art. 4, 2. 327 Cfr. art. 4, 4. 328 Cfr. art. 4, 5. 329 Cfr. art. 4, 7. 330 Cfr. art. 4, 8.

o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento»331.

Con “violazione dei dati personali”:

«la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati»332.

Le definizioni riportate riprendono quelle presenti nella Direttiva madre, sebbene in alcune vi si possano notare delle piccole variazioni, adattamenti o aggiunte333.

Esaminiamo ora nello specifico, per sotto paragrafi tematici, i contenuti maggiormente significativi introdotti dal Regolamento e le differenze rispetto alla normativa precedente.